Veri Minimizasyonu Nedir?
Kişisel verilerin korunmasında en önemli ilkelerden biri sadece ihtiyaç duyulan verilerin alınması, saklanmasıdır. Sadece ihtiyaç duyulan verilerin ilgili kişiden alınmasına, tüm veri işleminde bu prensibin gözetilmesine veri minimizasyonu ilkesi denir. Bu yazımızda veri minimizasyonu nedir, bu ilkeye uymak için veri sorumlularının neler yapabileceklerinden bahsedeceğiz.
Veri Minimizasyonu İlkesi
Kişisel verileri korumanın en temel prensiplerinden olan veri minimizasyonu ilkesi, yapılan işlem için asgari ölçüde gerekli olan verilerin toplanmasını benimser. Böylelikle ilgili kişiler sadece ihtiyaç duyulan verileri kullanır ve veri ihlallerinin işin en başında önüne geçilir.
Veri Minimizasyonu İlkesine Nasıl Uyulur?
Veri minimizasyonunun temeli kişinin verilerine ve böylece temel hak ve özgürlüklerine olabildiğince az müdahale etmesidir. Veri minimizasyonunu ilkesini gereklilikleri ve ilgili sorular aşağıdaki gibidir:
- Yapılacak veri işleme faaliyeti için asgari sayıda kişisel veri toplanması
- Elde edilen veri hukuka uygun elde edilmeli
- Alınan kişisel veriler, veri işleme amacına hizmet ediyor mu?
- Toplanan veriler işlem için yeterli mi, yoksa daha mı fazla?
Açık Rıza Olsa Dahi!
Veri minimizasyonu ilkesine uymayan, yani bir veri işleme faaliyeti için gerekli olamayan kişisel veriler toplanmışsa bu veriler için açık rıza almış olsa dahi bu veri işleme faaliyeti genel ilkelere aykırı olacaktır. Böylelikle Kurum tarafında yapılan incelemelerde KVKK’ya aykırılık tespit edilecektir.
Veri Minimizasyonu İlkesine Bir Örnek: Parmak İzi
Veri minimizasyonu ilkesine bir örnek vermek gerekirse bunu en dikkat çekici konulardan biri olan parmak izi, avuç tarama, retina okutma gibi veri işleme faaliyetleri üzerinden yapmak gerekir. Örneğin aşağıda özeti olan bu kararda bir spor salonu üyelerinin giriş çıkışlarını kontrol etmek için avuç içi okutma yöntemini kullanmıştır. Kişisel Verileri Koruma Kurumu yaptığı incelemede bu güvenlik önemini daha az veri işleyerek yapılabileceği (kart, kimlik kontrolü, mobil app) gerekçesiyle veri ihlali kararı vermiştir.
2019/165 sayılı kararın özeti ve ilgili GDPR kararları
Açık Rızanın Önceden Alınması
Gelecekte gerekli olacak bir veri için önceden açık rıza alınması veri minimizasyonu ilkesine aykırıdır. Açık rıza alınması gereken durumlarda sadece o anda kullanılacak veriler için rıza alınır. Gelecek zamanda lazım olur düşüncesiyle o anda ihtiyaç duyulmayan veriler için açık rıza alınması kişisel verilerin korunması açısından aykırılık teşkil etmektedir.
Kişisel veriler alanında bilgi birikiminizi geliştirmek için KVKK Arar’ı diğer blog yazılarına bakabilirsiniz.
Kişisel veriler alanında aradığını karara anında ulaşmak ve aynı konuda verilmiş GDPR kararlarını incelemek için hemen KVKK Arar’ı kullanmaya başlayabilirsiniz.
